专家称漏洞修补法不好 政府应资助软件开发
发布时间:2019-11-25 00:09:02 所属栏目:趣闻 来源:本站整理
导读:,专家称漏洞修补法不好 政府应资助软件开发
|
> ZDNet China 2月26日北京报道(记者:RobertLemos):资深安全主管周二警告目前修补软件漏洞的方式仍太过复杂,许多企业因为来不及安装重要的更新文件,导致不肖份子有机可乘。 漏洞评估公司Qualys这项报告是在RSA安全大会上公布,其资料是取自公司所监控的客户网络,历经两年搜集,结果显示平均需要一个月才能将连结至网络的漏洞计算机数量降 低一半。 这样的时间对于修补最严重的安全漏洞而言已经太久了,Qualys技术长暨副总裁Gerhard Eschelbeck表示。 资料显示修补漏洞会有个循环周期,因此会有暴露于外在危险的可能性。他说,我们必须采取各种方式来缩短这个周期。 这些资料的确指出企业安全专业人士最感苦恼的问题之一:公司多数的安全都得依赖修补软件漏洞,但要在关键系统上安装修补程序又得耗上一些时间。去年Slammer漏洞就是利用一个已经公布六个月之久的漏洞,后来八月的MSBlast也是如此。 微软在十月表示公司过去尝试说服客户定期修补软件的努力成效不佳,因此决定修正作法,改成每月统一发布一次漏洞修补档,同时也发起多项其它安全计划,希望能同步保护客户的网络范围。 不过这项每月一次的修补作法在专家眼里看来也是优劣互见。 过去微软不断寄出许多重大漏洞,但狼来了叫多了大家就不以为意。Safeway超商的信息安全副总裁表示,所以微软就不再常常叫狼来了,现在是改成每月只叫一次。 他认为微软以固定周期发出安全更新的作法会让地下黑客或攻击者有机可乘。微软在修正漏洞期间,若黑客先一步找出漏洞,那公司就成了攻击对象。 有心利用这些漏洞的人士是没有固定周期的。Harris强调。 不过,另一位安全专家则表示多花点时间注意修正程序的品质在长期上的确有助于企业可尽速修正漏洞。目前,多数企业安全小组经常得花上一些时间来测试修补程序的兼容问题,确保这些外来档案不会导致关键商业应用出现问题,商业信息供货商TheThomson公司企业安全长DennisDevlin如此表示。 修补的最高指导原则就是不要弄巧成拙,只要修补文件不会害到系统,那就没问题了。他说。 不过数据库厂商甲骨文安全长AnnDavidson则认为公司应该要对软件商做出更大的要求。开发人员必须改变开发流程以避免这类缺失。 我都告诉大家必须据理力争,Davidson说。各位花了很多钱在软件上,因此有权要求得到好的软件。 Davidson认为比较可行的作法包括由政府来资助开放源代码工具,扫瞄开发中常见的程序代码安全问题。然后联邦机构就可强制供货商必须采用这些工具来监控自家的程序代码。她表示依赖民间公司来弥补这个问题似乎不可行。 但至少在目前,公司还是得处理如何从自己的商业后端系统中找出漏洞的问题。Safeway超商的Harris表示这是个非常艰难的任务。 有时候我觉得我根本是被这问题追着跑,而不是我要去解决这问题。他说。(陈奭璁) (编辑:555手机网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
